DE102019203783A1 - Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten - Google Patents

Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten Download PDF

Info

Publication number
DE102019203783A1
DE102019203783A1 DE102019203783.6A DE102019203783A DE102019203783A1 DE 102019203783 A1 DE102019203783 A1 DE 102019203783A1 DE 102019203783 A DE102019203783 A DE 102019203783A DE 102019203783 A1 DE102019203783 A1 DE 102019203783A1
Authority
DE
Germany
Prior art keywords
signal
accuracy
control
requirement
sensor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102019203783.6A
Other languages
English (en)
Other versions
DE102019203783B4 (de
Inventor
Christina Artmann
Bernhard Klingseis
Holger Lang
Norman Marsch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vitesco Technologies GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102019203783.6A priority Critical patent/DE102019203783B4/de
Publication of DE102019203783A1 publication Critical patent/DE102019203783A1/de
Application granted granted Critical
Publication of DE102019203783B4 publication Critical patent/DE102019203783B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B13/00Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
    • G05B13/02Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
    • G05B13/0205Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric not using a model or a simulator of the controlled system
    • G05B13/026Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric not using a model or a simulator of the controlled system using a predictor
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/25Data precision
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C25/00Arrangements for preventing or correcting errors; Monitoring arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Safety Devices In Control Systems (AREA)
  • Control Of Transmission Device (AREA)

Abstract

Verfahren und Vorrichtung zur Überwachung eines Steuersignals für eine oder mehrere, das Steuersignal konsumierende, Signalverarbeitungs-Komponenten eines Steuersystems unter Berücksichtigung einer Signalgenauigkeit. Sowohl das Steuersignal als auch ein Genauigkeitssignal werden von einer Signalerzeugungs-Komponente empfangen, wobei das Genauigkeitssignal eine Signalgenauigkeit des Steuersignals repräsentiert. Das Genauigkeitssignal wird anhand einer Genauigkeitsanforderung überwacht und die Genauigkeitsanforderung wird für oder während des Betriebs angepasst.

Description

  • Die Erfindung betrifft ein Verfahren zur Verwendung der Signalgenauigkeit bezüglich einer Signalqualitätsanforderung um ein Sicherheitskonzept zu unterstützen. Ferner wird ein Steuerprogramm beschrieben, das bei dessen Ausführung ein solches Verfahren durchführt. Außerdem wird ein Steuersystem, insbesondere ein Kraftfahrzeug-Steuersystem, zur Verwendung von Signalgenauigkeitsanforderungen beschrieben.
  • In modernen Fahrzeugen werden immer mehr Steuergeräte integriert und immer mehr Funktionalitäten implementiert. Durch deren steigende Vernetzung und Komplexität wird die Realisierung der funktionalen Sicherheit ebenfalls stets komplexer.
  • Zusätzlich werden durch die Entwicklungstendenz hin zum autonom fahrenden Fahrzeug die Anforderungen an die funktionale Sicherheit drastisch erhöht. Wo bisher oft der Fahrer in sicherheitsrelevanten Situationen die letzte Entscheidung zu treffen hatte, verlagert sich diese Entscheidung durch den Einsatz zahlreicher Fahrerassistenzsysteme immer mehr hin zum Fahrzeug, beziehungsweise der Fahrzeugsteuerung selbst.
  • Ein weiterer wichtiger Aspekt ist, dass bei der Umsetzung der funktionalen Sicherheit bisher der Fokus fast ausschließlich darauf liegt, beim Erkennen eines Fehlerfalls des Systems das System inaktiv zu schalten („fail-safe“). Jedoch bei Systemen für autonom fahrende Fahrzeuge ist es verstärkt notwendig, eine deutlich komplexere Fehlerreaktion umzusetzen, um den risikoärmsten Zustand des Fahrzeugs zu erreichen („fail-operational“). So kann es beispielsweise notwendig sein, anstatt das Fahrzeug im Fehlerfall schnellstmöglich abzustellen, das Fahrzeug eventuell zuerst nochmals zu beschleunigen, um z.B. beim Überqueren eines Bahnübergangs das Fahrzeug noch von den Schienen weg zu bewegen.
  • Im Rahmen der Funktionalitäten, die auf Steuergeräten eines Steuersystems, insbesondere Motor- und Antriebssteuergeräten eines Kraftfahrzeug-Steuersystems, gerechnet und durchgeführt werden, werden zahlreiche Signale verarbeitet. Diese Signale können zum Beispiel zwischen einzelnen Steuergeräten oder Software-Komponenten kommuniziert werden. Für die diese Signale konsumierenden Signalverarbeitungs-Komponenten kann dabei auch eine Anpassung oder Adaptierung des Signals von Vorteil sein, insbesondere, um die Qualität, beziehungsweise Signalgenauigkeit, mit der ein Steuersignal verfügbar ist, zu gewährleisten.
  • Beispielsweise kann bei der Erfassung eines Sensorsignals dieses unter verschiedenen Betriebsbedingungen mit unterschiedlicher Signalgenauigkeit von einem Sensor zur Verfügung gestellt werden. Beispielsweise hängt bei einer Lambda-Sonde die Genauigkeit des ermittelten Wertes von der Betriebstemperatur des Sensors ab. Auch bei der Übertragung von Signalen zwischen zwei Steuergeräten hängt die Qualität beziehungsweise Signalgenauigkeit des übertragenen Signals vom Zustand der Kommunikation zwischen den Steuergeräten ab.
    Für zukünftige funktionale Sicherheitskonzepte, insbesondere für immer autonomere Systeme, wird es zunehmend wichtig, die benötigten Diagnosefunktionen sehr gezielt zu aktivieren bzw. zu deaktivieren, um die auftretende Fehlerreaktion und somit die Verfügbarkeit des Systems zu optimieren. Insbesondere im Rahmen von „fail-operational“ Systemen wird eine Diagnosefähigkeit sowie die erhöhte Verfügbargeit des Systems verlangt.
  • Hierzu ist vor kurzem vorgeschlagen worden, Steuersignale an der Quelle zu adaptieren, da die von den konsumierenden Signalverarbeitungs-Komponenten selbst berechnete Signalgenauigkeit mangels ausreichender Kenntnisse der konsumierenden Signalverarbeitungs-Komponenten über die die Steuersignale erzeugenden Komponenten unter Umständen nur sehr ungenau ist. Weiterhin erlauben die Kenntnisse der konsumierenden Signalverarbeitungs-Komponenten oftmals keine ausreichend gültige Aussage zur Weiterverwendung.
  • Durch das Übergeben und Auswerten eines von der Signalerzeugungs-Komponente selbst erzeugten Genauigkeitssignals, das anstelle des Zustandes der Signalerfassung oder der Kommunikation direkt die Qualität beziehungsweise die Signalgenauigkeit der physikalischen Größe, beispielsweise als physikalische Bandbreite, zur Verfügung stellt, kann eine Adaption immer dann ausgeführt werden, wenn es nötig oder gewünscht ist für den ordnungsgemäßen Betrieb. Dies liefert eine deutlich höherwertige Information für die die Steuersignale konsumierenden Signalverarbeitungs-Komponenten, die unabhängig von der Signalerfassung, Kommunikation oder einem Hersteller zum Beispiel einer Sensorkomponente abgebildet werden kann.
  • In herkömmlichen Lösungen bei der Umsetzung der funktionalen Sicherheit in Fahrzeugen, bzw. in Motor- und Antriebsstrangsteuerungen wurden sicherheitsrelevante Funktionen beispielsweise redundant in parallelen Ebenen abgebildet. Bei systematischen oder zufälligen Fehlern, die von der Überwachungsebene erkannt werden, wird eine entsprechende Fehlerreaktion ausgelöst. Als Beispiel könnte der sichere Zustand eines Systems aktiviert werden. So wird beispielsweise zum Schutz vor ungewollter Beschleunigung die Drosselklappe in eine Notlaufposition gebracht oder die Einspritzung deaktiviert, wenn ein Fehler bei der Erfassung der Gaspedalposition erkannt wird.
  • Im Rahmen der funktionalen Sicherheit wird dabei ausgewertet, ob ein sicherheitsrelevanter Fehler vorliegt und wenn die Auswertung ergibt, dass ein solcher vorliegt, eine Reaktion darauf eingeleitet. Es wird dabei in der Reaktion z.B. nicht unterschieden, welche Ursache dazu führt, dass eine fehlerhafte Gaspedalposition erkannt wird.
  • Zusätzlich werden die Funktionalitäten, die zur Überwachung des Systems eingesetzt werden, dabei oft, beispielsweise abhängig von der Betriebssituation, aktiviert oder deaktiviert, um unbegründete Fehlerreaktionen zu vermeiden. So kann z.B. während des Ausparkvorgangs bei schnellen Vorwärts-/Rückwärtsbewegungswechseln die Plausibilitätskontrolle des Fahrerwunschmomentes deaktiviert werden, um ein fehlerhaftes Auslösen einer Fehlerreaktion zu vermeiden.
  • Des Weiteren gibt es Überwachungsfunktionen, die nur bei bestimmten Systemkonfigurationen benötigt werden, bspw. nur wenn ein Automatikgetriebe im Fahrzeug verbaut ist. Bei Handschaltgetrieben soll die Funktion deaktiviert sein. Weiterhin gibt es Überwachungsfunktionen, die ausschließlich während bestimmter Systemzustände, bspw. während eines Schaltvorgangs, benötigt werden.
  • Durch die steigenden Anforderungen an die Systemverfügbarkeit wird es immer wichtiger die Überwachungsfunktionen im Rahmen des Sicherheitskonzeptes gezielt zu aktivieren bzw. zu deaktivieren, um unbegründete Fehlerreaktionen, die den Betrieb des Systems einschränken, zu vermeiden. Ebenfalls besteht zunehmend eine Wechselwirkung zwischen Betriebszustand und Überwachungskonzept bzw. Sensoranforderungen.
  • Für zukünftige funktionale Sicherheitskonzepte, insbesondere für immer höher automatisierte Systeme, wird es jedoch nötig sein, die Fehler nicht nur zu erkennen, sondern auch qualitative Aussagen über den Fehlerfall zu treffen, sowie quantitative Aussagen über die Auswirkungen des Fehlers machen zu können und die Fehlerreaktion des Fahrzeugs an den entsprechenden Fehler anzupassen.
  • Die Verwendung von Genauigkeitsanforderungen im Rahmen des funktionalen Sicherheitskonzeptes kann zu einer deutlich reduzierten Anzahl der auszuwertenden systemübergreifenden Informationen, die für die Entscheidung über die Aktivierung einer Überwachungsfunktion herangezogen werden müssen, führen, da alle Anforderungen, z.B. über die Fehlerfortpflanzung, in der Genauigkeitsanforderung ausgedrückt werden können. Dadurch wird eine deutlich bessere Kapselung von einzelnen Funktionalitäten ermöglicht und der Wartungsaufwand bei Systemänderungen entsprechend gesenkt.
  • Des Weiteren ermöglicht die Kommunikation über Genauigkeitsanforderungen eine deutlich gezieltere Entscheidung über die Aktivierung von Überwachungsfunktionen.
  • Die konsumierenden Funktionen können über die Übermittlung von Genauigkeitsanforderungen außerdem eine deutlich höherwertige Information zur Verfügung stellen, da nicht nur Zustände definiert werden, in denen eine Überwachungsfunktion aktiviert bzw. deaktiviert wird, sondern quantitative Werte als Entscheidungskriterium zur Verfügung gestellt werden.
  • Die Verwendung von prädizierten Werten im Rahmen des funktionalen Sicherheitskonzeptes bietet dabei den Vorteil, dass eine deutlich optimierte Fehlerreaktion ausgelöst werden kann, verglichen mit der bisher nur verfügbaren Aussage, dass zum aktuellen Zeitpunkt ein Fehler vorliegt. Zum einen kann durch eine optimierte Fehlerreaktion die Verfügbarkeit des überwachten Systems erhöht werden, zum anderen kann eine Fehlerreaktion jedoch bei Bedarf auch schneller und zielgerichteter ausgelöst werden, als bei konventionellen Sicherheitskonzepten, die z.B. mit einer Entprellung von Signalen arbeiten.
  • Durch die Verwendung von Genauigkeitsanforderungen kann so zum einen durch eine optimierte Aktivierung oder Deaktivierung der Überwachungsfunktionen die Verfügbarkeit des Systems erhöht werden, zum anderen kann eine Fehlerreaktion jedoch bei Bedarf auch schneller und zielgerichteter ausgelöst werden, da durch die gezieltere Aktivierung und Deaktivierung der Überwachungsfunktionen die Grenzwerte für den Fehlerfall deutlich präziser definiert werden können.
  • Dies ist ein eindeutiger Mehrwert bei der Umsetzung von Sicherheitskonzepten v.a. für autonom fahrende Fahrzeuge, da hier die Verfügbarkeit des Systems von enormer Bedeutung ist. Zusätzlich darf der sichere Zustand, der im Fehlerfall angestrebt wird, nicht auf das außer Betrieb nehmen des Systems beschränkt sein, sondern es wird eine exakt angepasste Reaktion auf den vorliegenden Fehler, die Betriebs- und die Umgebungsbedingungen, in denen sich das System zum Zeitpunkt des Fehlerfalls befindet, erwartet. Wichtig ist, dass die übergeordnete Steuerungsfunktion spezifisch auf den Systemzustand reagieren kann.
  • In einem weiteren Aspekt können die Signalgenauigkeiten im Rahmen des funktionalen Sicherheitskonzeptes auch verwendet werden, um die für die Beurteilung des Systemzustands (insbesondere hinsichtlich Sicherheit) benötigten Informationen über Sensorzustände zu ermitteln, wodurch nicht mehr wie bisher zahlreiche andere Informationen oder Signale auf einer höheren Systemebene herangezogen werden müssen, um indirekt die Information über ein gültiges oder fehlerhaftes Signal zu erhalten.
  • Über zeitliche Trajektorien der Signale und deren Genauigkeiten für eine Prädiktion des zeitlichen Verlaufs können nach einem exakten Schema zusätzliche Informationen übertragen werden, die mittels prädiktiver Regelung im Rahmen des funktionalen Sicherheitskonzeptes verwendet werden können. Beispielsweise kann so berücksichtigt werden, wie sich die prädizierte Genauigkeit des Wertes, der im Rahmen des funktionalen Sicherheitskonzeptes überwacht wird, in der Zukunft verhalten wird und so bei Bedarf das Verhalten abhängig von der erwarteten Dauer des fehlerhaften Zustandes angepasst werden.
  • Es ist Aufgabe der vorliegenden Erfindung, die funktionale Sicherheit bei Fahrzeugen zu erhöhen, welche eine Vielzahl von Sensoren aufweisen und unter Berücksichtigung von Genauigkeitsanforderungen die Sensorsignale auswerten.
  • Die Aufgabe wird in einem ersten Aspekt durch ein Verfahren zur Verwendung von Genauigkeitsanforderungen um eine optimierte Aktivierung oder Deaktivierung der Überwachungsfunktionen zu erreichen. Die Verfügbarkeit des Systems wird erhöht, und eine Fehlerreaktion kann bei Bedarf schneller und zielgerichteter ausgelöst werden, da durch die gezieltere Aktivierung oder Deaktivierung der Überwachungsfunktionen die Grenzwerte für den Fehlerfall deutlich präziser definiert werden können.
  • Die Signalgenauigkeiten können im Rahmen des funktionalen Sicherheitskonzeptes verwendet werden, um die für die Beurteilung des Systemzustands (insbesondere hinsichtlich Sicherheit) benötigten Informationen über Sensorzustände zu ermitteln, wodurch nicht mehr wie bisher zahlreiche andere Informationen oder Signale auf einer höheren Systemebene herangezogen werden müssen, um indirekt die Information über ein gültiges oder fehlerhaftes Signal zu erhalten.
  • Über zeitliche Trajektorien der Signale und deren Genauigkeiten für eine Prädiktion des zeitlichen Verlaufs kann erfindungsgemäß nach einem exakten Schema zusätzliche Information übertragen werden, die mittels prädiktiver Regelung im Rahmen des funktionalen Sicherheitskonzeptes verwendet werden kann. Beispielsweise kann so berücksichtigt werden, wie sich die prädizierte Genauigkeit des Wertes, der im Rahmen des funktionalen Sicherheitskonzeptes überwacht wird, in der Zukunft verhalten wird und so bei Bedarf das Verhalten abhängig von der erwarteten Dauer des fehlerhaften Zustandes angepasst werden.
  • Die obige Aufgabe wird in einem weiteren Aspekt durch ein Steuerprogramm gelöst, das zur Ausführung auf einem oder mehreren Steuersystemen, insbesondere Kraftfahrzeug-Steuersystemen, eingerichtet ist, wobei das Steuerprogramm bei dessen Ausführung ein Verfahren der oben erläuterten Art durchführt. Ein derartiges Steuerprogramm implementiert somit das hier dargestellte Verfahren vorteilhaft auf einem entsprechenden Steuersystem, sodass die hier erläuterten Vorteile auf einfache Weise innerhalb des Steuersystems implementiert werden können.
  • Es zeigen:
    • 1 ein schematisiertes Blockschaltbild diverser Funktionsblöcke zur Berechnung eines Gesamt-Genauigkeitssignals aus mehreren einzelnen Genauigkeitssignalen;
    • 2 ein schematisiertes Blockschaltbild der Wertung eines Sensorsignales anhand des erfinderischen Konzepts;
    • 3 eine detaillierte Ansicht der Wertung eines Signals und zugehöriges Signalgenauigkeitssignal;
    • 4 eine mögliche Entwicklung einer Signalgenauigkeit;
    • 5 einen zeitlichen Ablauf der Genauigkeitsanforderung;
    • 6 eine Anpassung der Genauigkeit; und
    • 7 eine Abhängigkeit zwischen Spannung und Genauigkeit.
  • 1 zeigt ein schematisiertes Blockschaltbild diverser Funktionsblöcke zur Durchführung eines oben erläuterten Verfahrens zur Überwachung eines Steuersignals für eine oder mehrere, das Steuersignal konsumierende Signalverarbeitungs-Komponenten eines Steuersystems unter Berücksichtigung einer Signalgenauigkeit und einer Genauigkeitsanforderung. Ein solches System wäre z.B. in Kraftfahrzeugen zu finden.
  • Die in der 1 dargestellten Funktionsblöcke sind beispielsweise Bestandteil einer Implementierung innerhalb des Steuersystems, oder sind über kommunizierende Steuersysteme verteilt.
  • Zunächst werden mehrere Steuersignale 1a und 1b einer bestimmten Art sowie mehrere Genauigkeitssignale 2a und 2b erzeugt. Dies geschieht in der Sphäre einer Signalerzeugungs-Komponente I des Steuersystems. Die jeweiligen Genauigkeitssignale 2a und 2b repräsentieren jeweils eine Signalgenauigkeit der korrespondierenden Steuersignale 1a und 1b. Das bedeutet, dass das Genauigkeitssignal 2a eine Signalgenauigkeit des Steuersignals 1a repräsentiert, während das Genauigkeitssignal 2b eine Signalgenauigkeit des Steuersignals 1b repräsentiert.
  • Die Signalerzeugungs-Komponente I arbeitet beispielsweise als Auswerte-Einheit zur Auswertung von Messsignalen, die über mehrere Messsignal-Erzeugungseinheiten erzeugt werden, wobei die Signalerzeugungs-Komponente I aus den erfassten Messsignalen jeweils die Steuersignale 1a und 1b sowie deren Genauigkeitssignale 2a und 2b ableitet. Die 1 zeigt beispielhaft die Ermittlung einer Motoröltemperatur, wobei zum Beispiel ein Temperatursensor als erste Messsignal-Erzeugungseinheit und ein System-Modell als zweite Messsignal-Erzeugungseinheit Anwendung finden. Der Temperatursensor erzeugt ein erstes Messsignal und das System-Modell erzeugt ein zweites Messsignal. Somit stehen zwei Signalquellen zur Verfügung, die jeweils ein alternatives Messsignal einer bestimmten Art (hier zur Bestimmung der Motoröltemperatur) bereitstellen. Die Signalerzeugungs-Komponente I erzeugt aus dem ersten Messsignal des Temperatursensors das erste Steuersignal 1a und aus dem Messsignal des System-Modells das zweite Steuersignal 1b. Beispielsweise werden die jeweiligen Steuersignale 1a und 1b als Temperatursignale aus elektrischen Spannungssignalen des Temperatursensors, beziehungsweise des System-Modells gewonnen.
  • Zusätzlich erzeugt die Signalerzeugungs-Komponente I in Abhängigkeit vom Messsignal des Temperatursensors beziehungsweise in Abhängigkeit von einem Zustand oder von einem Verhalten des Temperatursensors das erste Genauigkeitssignal 2a, während die Signalerzeugungs-Komponente I in Abhängigkeit vom Messsignal des System-Modells beziehungsweise in Abhängigkeit von einem Zustand oder von einem Verhalten des System-Modells das zweite Genauigkeitssignals 2b erzeugt. Eine jeweilige Erzeugung der Genauigkeitssignale 2a und 2b erfolgt zum Beispiel aufgrund einer Kenntnis eines Zustands oder eines Verhaltens des Temperatursensors beziehungsweise des System-Modells durch die Signalerzeugungs-Komponente I. Zum Beispiel kann ein Genauigkeitssignal 2a beziehungsweise 2b aus einem Kennlinienverhalten des Temperatursensors beziehungsweise des System-Modells gewonnen werden, das der Signalerzeugungs-Komponente I bekannt ist. Weist der Temperatursensor beispielsweise in einem ersten Arbeitspunkt eine Messgenauigkeit mit einer Bandbreite von +/- 5 % auf und in einem anderen Arbeitspunkt eine Messgenauigkeit mit einer Bandbreite von +/- 10 %, so kann die Signalerzeugungs-Komponente I das Genauigkeitssignal ermitteln, je nachdem, ob sich der Sensor im ersten Arbeitspunkt oder im zweiten Arbeitspunkt befindet. Entsprechendes gilt für das System-Modell.
  • Anschließend erfolgt eine Evaluierung der beiden Genauigkeitssignale 2a und 2b hinsichtlich ihrer Signalgenauigkeiten. Dies geschieht in der Sphäre einer Evaluierungs-Komponente II des Steuersystems. Hierzu ist ein Evaluierungs-Block 5 innerhalb der Evaluierungs-Komponente II eingerichtet, dem die von der Signalerzeugungs-Komponente I erzeugten Genauigkeitssignale 2a und 2b übergeben werden.
  • Der Evaluierungs-Block überwacht die Genauigkeitssignale, und prüft die Signale anhand einer Genauigkeitsanforderung. Die Genauigkeitsanforderung kann für beide Genauigkeitssignale gleich sein, oder die Genauigkeitsanforderung kann für jedes Genauigkeitssignal gesondert festgelegt sein. In einer Ausführungsform haben die Genauigkeitsanforderungen für jedes Genauigkeitssignal ein Verhältnis zueinander ohne starr gekoppelt zu sein.
  • Die Überprüfung des Genauigkeitssignals anhand der Genauigkeitsanforderung kann dauerhaft und kontinuierlich stattfinden, oder es kann durch eine Änderung oder Ereignis ausgelöst werden. Auslösend kann z.B. eine Änderung der Genauigkeitsanforderung oder des Genauigkeitssignals sein.
  • Beispielsweise beschreibt das Genauigkeitssignal eine Bandbreite oder Varianz des Steuersignals, z.B. eine mögliche Abweichung in % von einem erwarteten Wert des Steuersignals. Das Genauigkeitssignal kann für unterschiedliche Werte des Steuersignals unterschiedliche Werte annehmen. Beispielsweise kann das Genauigkeitssignal eine unterschiedliche Bandbreite des Steuersignals für unterschiedliche Werte des Steuersignals repräsentieren.
  • Das Genauigkeitssignal kann die nötigen Informationen liefern, um festzustellen, dass eine Adaption durchzuführen ist bzw. angestoßen werden soll. Das Genauigkeitssignal und das adaptierte Steuersignal können dann an die eine oder mehreren, das Steuersignal konsumierenden, Signalverarbeitungs-Komponenten zur Verarbeitung des adaptierten Steuersignals, evtl. unter Berücksichtigung des Genauigkeitssignals, übergeben werden.
  • Als Reaktion auf die Überprüfung kann eine Entscheidung über die Quelle für ein Steuersignal getroffen oder festgelegt werden. Die Entscheidung des Evaluierungs-Blocks 5 steuert jeweils einen Umschalter 6a und einen Umschalter 6b. In Abhängigkeit von einer Entscheidung des Evaluierungs-Blocks 5 wird durch den Umschalter 6a entweder das Steuersignal 1a, gewonnen aus dem Temperatursensor, ausgewählt oder das Steuersignal 1b, gewonnen aus dem System-Modell, ausgewählt. In der 1 ist beispielhaft dem Umschalter 6a das Steuersignal 1a für eine weitere Verarbeitung ausgewählt. Dadurch wird das Steuersignal 1a als ausgewähltes Steuersignal 3 einer oder mehreren, das Steuersignal 3 konsumierenden Signalverarbeitungs-Komponenten III übergeben. Alternativ oder zusätzlich kann auf Basis von einem fehlerhaften Signalwert und einem Genauigkeitssignal eine angepasste Fehlerreaktion ausgelöst werden.
  • In Abhängigkeit von einer Entscheidung des Evaluierungs-Blocks 5 wird im Umschalter 6b entweder das Genauigkeitssignal 2a, das die Signalgenauigkeit des Steuersignals 1a repräsentiert, ausgewählt oder das Genauigkeitssignal 2b, das eine Signalgenauigkeit des Steuersignals 1b repräsentiert, ausgewählt. In der 1 ist beispielhaft das Genauigkeitssignal 2a ausgewählt. Dieses wird nachfolgend als ausgewähltes Genauigkeitssignal 4 der Sphäre der einen oder mehreren, das Genauigkeitssignal konsumierenden Signalverarbeitungs-Komponenten III übergeben. Die Signalverarbeitungs-Komponenten III können im weiteren Betrieb des Steuersystems das Steuersignal 3 und das zugehörige Genauigkeitssignal 4 weiterverarbeiten. Hierbei wird die Adaption des Steuersignals 3 unter Berücksichtigung des Genauigkeitssignals 4 erfolgen. Das Genauigkeitssignal untersteht einer laufenden oder ständigen Überprüfung, und bei Vorliegen von den Bedingungen für eine Adaption des Steuersignals wird ein Adaptionsvorgang durchgeführt. Wird die Motoröltemperatur nicht über einen Sensor ermittelt, sondern über ein Modell, z.B. auf Basis eines empirischen Modells, können analog die Modelldaten adaptiert werden.
  • Das System kann einen bestimmten Wert eines Steuersignals als fehlerhaft erkennen, z.B. wenn der Signalwert außerhalb eines gültigen Bereiches liegt. Ein bestimmter Wert eines Steuersignals kann als fehlerhaft bei einem ersten Betriebszustand und als nicht-fehlerhaft bei einem zweiten Betriebszustand erkannt werden. Als Reaktion auf die Überprüfung kann auch eine Fehlerreaktion ausgerufen oder eingeleitet werden, wobei die Fehlerreaktion ggf. in Betracht eines vorübergehenden Betriebsmodus festgelegt werden kann. Die Fehlerreaktion kann eine Änderung des Betriebsmodus beinhalten oder eine Anpassung oder Anpassungsversuch des Sensors oder die Auslösung eines Warnsignals oder mehrere Aktionen gleichzeitig oder hintereinander. Mögliche Fehlerreaktionen beinhalten die Begrenzung der maximalen Geschwindigkeit eines Fahrzeugs und das kompletten Stilllegen des Fahrzeugs.
  • Der Zustand oder das Verhalten der Messsignal-Erzeugungseinheit ist für die Signalerzeugungs-Komponente zum Erzeugen des Genauigkeitssignals entweder zugänglich oder der Signalerzeugungs-Komponente bekannt. Beispielsweise kann die Signalerzeugungs-Komponente aus einer ihr bekannten Kennlinie eines verwendeten Sensors ein bestimmtes Verhalten des Sensors oder einen bestimmten Zustand des Sensors an einem bestimmten Arbeitspunkt und damit einhergehend auch eine bestimmte Messgenauigkeit bzw. Messungenauigkeit des Sensors entnehmen. In dem Falle, dass die Messsignal-Erzeugungseinheit ein Sensor-Modell oder ein System-Modell ist, kann die Signalerzeugungs-Komponente z.B. aus ihr bekannten Modell-Größen oder Modell-Parametern ein bestimmtes Verhalten oder einen bestimmten Zustand des Sensor-Modells oder des System-Modells und damit einhergehend auch eine bestimmte Messgenauigkeit bzw. Messungenauigkeit, Störgrößenverhalten, usw. entnehmen. Dieser Zustand beziehungsweise dieses Verhalten der Messsignal-Erzeugungseinheit wird dann einerseits für die Erzeugung des Steuersignals aus dem von der Messsignal-Erzeugungseinheit gelieferten Messsignal herangezogen und andererseits für die Erzeugung des parallel erzeugten Genauigkeitssignals herangezogen, das eine Signalgenauigkeit des Steuersignals repräsentiert.
  • Das Genauigkeitssignal kann entsprechend geändert oder angepasst werden abhängig davon, ob sich das Messsignal beziehungsweise der Zustand oder das Verhalten der Messsignal-Erzeugungseinheit über die Zeit ändert. Verändert sich beispielsweise die Betriebstemperatur an einem Sensor, der ein temperaturabhängiges Verhalten zeigt, so ändert sich auch der Zustand beziehungsweise das Verhalten des Sensors, was Auswirkungen auf das von dem Sensor gelieferte Messsignal hat. Beispielsweise steigt ein vom Sensor geliefertes Spannungssignal proportional mit einer ansteigenden Temperatur am Sensor an. Ferner ist denkbar, dass der Sensor eine von der Temperatur abhängige Messgenauigkeit aufweist. Mit zunehmender Temperatur verändert sich somit auch die Signalgenauigkeit des vom Sensor gelieferten Messsignals und damit konsequenterweise die Signalgenauigkeit des aus dem Messsignal ermittelten Steuersignals. Diese Änderung der Signalgenauigkeit wird durch die Signalerzeugungs-Komponente bei der Erzeugung des Genauigkeitssignals erfasst und berücksichtigt. Auf diese Weise kann ein Genauigkeitssignal erzeugt werden, das sich mit einem zeitlich veränderlichen Verhalten des Sensors entsprechend ändert. Das Genauigkeitssignal spiegelt somit eine durch ein zeitlich veränderliches Sensorverhalten ausgelöste veränderte Signalgenauigkeit des Steuersignals wider. Diese Information kann zur Bestimmung von geeigneten Zeitpunkten zur Durchführung eines Adaptionsvorgangs verwendet werden.
  • Hat sich z.B. während des Betriebs die Genauigkeit eines Temperatursensors aufgrund der vorherrschenden Betriebsbedingungen verschlechtert, so kann die Sensorkennlinie adaptiert werden, sofern ein weiterer Wert vorhanden ist, der eine Information über die Temperatur zur Verfügung stellt.
  • Die Adaption der Signale kann, abhängig von der jeweiligen Genauigkeit, in beide Richtungen durchgeführt werden.
  • Auch kann die Signalerzeugungs-Komponente einen Zustand oder ein Verhalten einer Signalübertragung zwischen der Signalerzeugungs-Komponente und der einen oder den mehreren, das Steuersignal konsumierenden, Signalverarbeitungs-Komponenten überwachen. Dabei erzeugt die Signalerzeugungs-Komponente das Genauigkeitssignal in Abhängigkeit vom Zustand oder vom Verhalten der Signalübertragung.
  • Die Signalübertragung kann beispielsweise vermittels eines Steuer-Busses, wie eines CAN-Busses oder sonstigen Feldbusses, oder vermittels eines oder mehrerer Netzwerke erfolgen. Beispielsweise ist die Signalerzeugungs-Komponente in einem ersten Steuergerät des Steuersystems eingerichtet, während die eine oder die mehreren Signalverarbeitungs-Komponenten in einem zweiten Steuergerät eingerichtet sind. Dazwischen erfolgt die Signalübertragung über einen oder mehrere der genannten Übertragungswege.
  • Eine Prädiktion eines zukünftigen zeitlichen Verlaufs des Genauigkeitssignals kann auf Grundlage eines vergangenen zeitlichen Verlaufs des Genauigkeitssignals durchgeführt werden. Für eine derartige Prädiktion können herkömmliche mathematische Methoden angewendet werden. Beispielsweise kann aus einem im Betrieb erfassten zeitlichen Verlauf des Genauigkeitssignals (Trajektorie des Genauigkeitssignals) ein zukünftiger zeitlicher Verlauf des Genauigkeitssignals abgeschätzt werden. Dadurch ist es dem Steuersystem beziehungsweise einem Steuerprogramm, das auf dem Steuersystem abläuft und ein hier erläutertes Verfahren durchführt, möglich, zukünftige Betriebssituationen des Steuersystems abschätzen zu können. Beispielsweise können Signalverarbeitungs-Komponenten oder auch Signalerzeugungs-Komponenten des Steuersystems im Vorfeld auf bestimmte Veränderungen des Betriebsverhaltens des Steuersystems in der Zukunft reagieren, um dieses Betriebsverhalten entweder herbeizuführen oder zu verhindern. Eine Prädiktion des zeitlichen Verlaufs des Genauigkeitssignals kann beispielsweise parallel zu einer Prädiktion eines zeitlichen Verlaufs des Steuersignals basierend auf einer erfassten Trajektorie des Steuersignals erfolgen. Diese Information kann wiederum zur Bestimmung von geeigneten Zeitpunkten zur Durchführung eines Adaptionsvorgangs verwendet werden.
  • In diversen Implementierungen des Verfahrens werden mehrere Steuersignale und mehrere Genauigkeitssignale einer bestimmten Art von der Signalerzeugungs-Komponente oder von mehreren Signalerzeugungs-Komponenten erzeugt. Dabei kann jeweils ein Genauigkeitssignal zu einem Steuersignal korrespondieren, oder ein Genauigkeitssignal kann zu mehreren Steuersignalen korrespondieren.
  • Anhand von 2 werden die Möglichkeiten zur Bearbeitung von Signalen und zugehörige Genauigkeitssignalen veranschaulicht, wie sie z.B. in einem Evaluierungsblock 5 realisiert sein könnten. In Schritt 210 werden Signal und zugehöriges Genauigkeitssignal empfangen bzw. erfasst. In Schritt 220 wird das Signal anhand von seinem zugehörigen Genauigkeitssignal gewertet. Zum Beispiel kann ein Geschwindigkeitssensor anhand eines Genauigkeitssignals überprüft werden, um festzustellen ob die Genauigkeit ausreichend ist um eine begründete Aussage zur Geschwindigkeit zu treffen.
  • Die Wertung eines Genauigkeitssignales, gezeigt als 230, kann im Rahmen von einer Überwachung stattfinden. Bei der oben erwähnten Überwachungsfunktion, die bei konventionellen Antrieben nur benötigt wird, wenn ein Automatikgetriebe im Fahrzeug verbaut ist und bei Handschaltgetrieben deaktiviert sein soll, kann die Überwachungsfunktion mit dem Einsatz von Genauigkeitsanforderungen über eine anonymisierte Information aktiviert und deaktiviert werden und muss nicht direkte Zustände aus anderen Systemen als Information heranziehen. Dadurch wird eine deutlich bessere Kapselung der einzelnen Systeme erreicht und die einzelnen Systemelemente können sowohl in unterschiedlichen Systemkonfigurationen als auch einzeln in verschiedenen Systemen eingesetzt werden, ohne dass Abhängigkeiten untereinander bestehen, wodurch bei der Wiederverwendung ein enormer Zusatzaufwand entstehen würde.
  • Bei der stark steigenden Anzahl an Systemvarianten bspw. in der Automobilindustrie entsteht dadurch ein deutlicher Mehrwert. Wenn z.B. kein konventioneller Antriebsstrang mit Verbrennungsmotor im Fahrzeug verwendet wird, sondern ein Hybrid-Antrieb, bei dem zwischen Getriebe und Verbrennungsmotor noch eine Elektromaschine verbaut ist, kann es sein, dass die Überwachungsfunktion nicht benötigt wird, obwohl ein Automatikgetriebe verbaut ist, da die dazwischenliegende Elektromaschine die Information für den Verbrennungsmotor bereits genau genug ermittelt. Verwendet nun die Überwachungsfunktion keine Genauigkeitsanforderungen, sondern nur die Information ob ein Automatikgetriebe verbaut ist (wie bisher), dann muss die Überwachungsfunktion bei jeder Systemänderung angepasst werden.
  • In Schritt 232 wird die Auswirkung auf die Sicherheitsanforderung ermittelt. Die Auswirkung ergibt sich dynamisch aus das Signal und das geprüftes und gewertetes Genauigkeitssignal, basiert aber prinzipiell auf der Anwendung. Sollten Signalwert und Signalgenauigkeit unzureichend sein für die gegebene Anwendung, dann kann eine Signalisierung der Anforderung auf eine höhere Genauigkeit als Rückmeldung 235 an eine Erfassungseinheit oder Signalerzeugungs-Komponente 210 vermittelt werden. Ebenfalls kann, im Falle von eine mehr als ausreichende Genauigkeit, eine Signalisierung erfolgen, dass die Genauigkeit mehr als ausreichend ist, und ggf. eine niedrige Genauigkeit ausreichen wurde.
  • In Schritt 231 werden Eigenschaften der Genauigkeit festgestellt oder geschätzt. Hier kann z.B. die aktuelle oder zeitliche Entwickelung der Genauigkeit festgestellt oder prädiziert werden. In diesen Schritt kann die Entwicklung entweder als zeitlicher oder als Ereignis-getriebene Änderung analysiert werden.
  • In Schritt 240 wird die Systemreaktion entsprechend angepasst, mindestens auf Basis von dem Genauigkeitswert und ggf. dem Signalwert. Zum Beispiel kann eine Beschleunigung verschoben oder nicht realisiert werden, wenn eine Temperatursensorwert grenzwertig überhöht ist und gleichzeitig die Signalgenauigkeit es nicht erlaubt, die Temperatur hinreichend zu bestimmen.
  • Die Systemreaktion kann auch vorausschauend angepasst werden, wenn die Entwicklung der Genauigkeit es vorhersehbar macht, dass ein Problem anhand der Genauigkeit bald oder in eine vorhersehbare Zukunft vorhanden sein wird. Eine mögliche Systemreaktion besteht in der Rückmeldung bzw. geänderte Anforderung an der Signalgenauigkeit 235, aber andere Reaktionen auf Signalwerte und Signalgenauigkeiten können unerlässlich sein.
  • Die verschiedenen Schritte aus 2 müssen nicht sequenziell abgearbeitet werden, und es kann vom Vorteil sein, wenn mehrere oder alle Schritte parallel ablaufen.
  • 3 veranschaulicht die Auswirkung und Wechselwirkung von gewerteten Signaleingänge und Genauigkeitssignale. Eine mögliche Auswirkung auf die Sicherheitsanforderung kann eine Anforderung am Signalgeber sein, wie 235 aus 2, womit eine Signalerzeugungs-Komponente aufgefordert wird, das Steuersignal z.B. mit erhöhter Genauigkeit zu liefern. Eine andere mögliche Auswirkung kann eine Feststellung oder eine Neubewertung von der Zuverlässigkeit von Ergebnisse auf Basis z.B. von ungenauen Signalwerten sein. Eine weitere mögliche Auswirkung ist eine Festsetzung oder Anpassung von Grenzwerten für Fehlerfälle. Die Grenzwerte können durch geänderte Signalgenauigkeit, ggf. im Zusammenhang mit Signalwerte im bestimmten Bereichen, anzupassen sein. Letztlich kann eine Auswirkung in einen Fehlerfall oder sogar eine Notfall-Auslösung bestehen, wodurch beim Erkennen von einem fehlerhaften Signalwert, eine passende Fehlerreaktion ausgelöst wird.
  • In 4 wird die zeitliche Entwicklung einer Signalgenauigkeit dargestellt. Die Genauigkeit A („Accuracy“) ist auf die vertikale Achse 410, und Zeit vergeht auf die horizontale Achse. Die Genauigkeit 430 entwickelt sich zwischen eine Maximalwert 431 und eine Minimalwert 432. Die Ungenauigkeit erhöht sich in dieser Ausführung mit der Zeit, zum Beispiel wegen Alterungseffekte. Bis zur Zeit „t“, 425, ist der Genauigkeitswert ein gemessener Wert, und danach ist es ein geschätzter Wert. Da das Genauigkeitssignal 430 sich ändert, kann es von Vorteil sein, das Genauigkeitssignal anhand einer Genauigkeitsanforderung zu überwachen. Die Überwachung kann während des Betriebs entweder kontinuierlich oder aber zu gegebenen oder festgelegten Zeiten erfolgen.
  • 5 veranschaulicht einen zeitlichen Ablauf der Genauigkeitsanforderung 530 mit höheren und niedrigeren Anforderungen. In einer ersten Zeit, bis zum Zeitpunkt „t1“ als 526 gekennzeichnet, wird eine niedrigere Anforderung 541 an die Genauigkeit gestellt. In einer zweiten Zeit, bis zum Zeitpunkt „t2“ als 527 gekennzeichnet, wird eine höhere Anforderung 541 an der Genauigkeit (Senkung der Ungenauigkeit) gestellt. Ab Zeit „t2“ wird wieder eine niedrigere Anforderung 542 an der Genauigkeit gestellt. In diesem Beispiel ist die Genauigkeit ausreichend vor „t1“ und nach „t2“, aber nicht ausreichend zwischen „t1“ und „t2“. In diesem Beispiel wird die Genauigkeitsanforderung während des Betriebs laufend angepasst. Die Genauigkeitsanforderung könnte anhand eines funktionalen Sicherheitsprofils festgelegt werden, oder aber durch eine Tabelle mit Zuständen und entsprechenden Genauigkeitsanforderungen. Die Anpassung der Genauigkeitsanforderung könnte anhand eines Betriebsmodus festgelegt werden, oder aber anhand eines vorübergehenden Betriebsmodus. Als Beispiel könnte der Betriebsmodus ein Schaltvorgang oder ein Überhohlvorgang oder ein Bremsvorgang oder ein Beschleunigungsvorgang sein. Eine Abweichung zwischen der Signalgenauigkeit des Genauigkeitssignals und die Genauigkeitsanforderung könnte z.B. zu einer Fehlerreaktion bzw. Fehlermeldung führen.
  • 6 zeigt eine Anpassung der Genauigkeit 630, womit die Genauigkeit immer den Anforderungen 641, 642, 645 genügt. Zum Zeitpunkt „t1“ als 626 gekennzeichnet wird die Genauigkeit erhöht, oder die Ungenauigkeit gesenkt, damit es unter der Obergrenze 645 bleibt. Vor „t1“, und nach „t2“ als 627 gekennzeichnet, bleibt die Ungenauigkeit höher, jedoch unter die Maximalgrenze von 641 und 642. Die Genauigkeit kann z.B. durch eine Anforderung an den Sensor, eine verbesserte Genauigkeit zu liefern, herbeigerufen werden. Die Anpassung der Genauigkeit könnte auch durch die Verwendung eines anderen Sensors erfolgen, oder durch ein anderes Verfahren um den Sensorwert zu berechnen, oder durch eine Kombination aus mehrere Methoden. Eine geänderte Genauigkeitsanforderung kann sowohl für eine begrenzte Zeit eine erhöhte Anforderung darstellen als auch für längere Zeit oder dauerhaft.
  • Die Überwachung der Genauigkeit kann auf Grund von Änderungen im Genauigkeitssignal oder der Genauigkeitsanforderung durchgeführt werden. Im Falle einer Überwachungsfunktion, die bei konventionellen Antrieben nur benötigt wird, wenn ein Automatikgetriebe im Fahrzeug verbaut ist und bei Handschaltgetrieben deaktiviert sein soll, kann die Überwachungsfunktion mit dem Einsatz von Genauigkeitsanforderungen über eine anonymisierte Information aktiviert und deaktiviert werden und muss nicht Zustände aus anderen Systemen als Information heranziehen. Dadurch wird eine deutlich bessere Kapselung der einzelnen Systeme erreicht und die einzelnen Systemelemente können sowohl in unterschiedlichen Systemkonfigurationen als auch einzeln in verschiedenen Systemen eingesetzt werden, ohne dass Abhängigkeiten untereinander bestehen, wodurch bei der Wiederverwendung ein enormer Zusatzaufwand entstehen würde.
  • Wenn z.B. nicht ein konventioneller Antriebsstrang mit Verbrennungsmotor im Fahrzeug verwendet wird, sondern ein Hybrid-Antrieb, bei dem zwischen Getriebe und Verbrennungsmotor noch eine Elektromaschine verbaut ist, kann es sein, dass die Überwachungsfunktion nicht benötigt wird, obwohl ein Automatikgetriebe verbaut ist, da die dazwischenliegende Elektromaschine die Information für den Verbrennungsmotor bereits genau genug ermittelt. Verwendet nun die Überwachungsfunktion keine Genauigkeitsanforderungen, sondern nur die Information ob ein Automatikgetriebe verbaut ist (wie bisher), dann muss die Überwachungsfunktion bei jeder Systemänderung angepasst werden.
  • In 7 ist eine Abhängigkeit zwischen Spannung und Genauigkeit zu sehen. Ein Sensorwert 710 kann in einem gültigen Bereich definiert sein. Bei einem Sensor, der eine Spannung als Wert 710 ausgibt, gibt es so beispielsweise eine minimale und eine maximale Spannungsgrenze (VMin 712, VMax 711). Liegt der Sensorwert außerhalb des gültigen Bereiches, so wird ein Fehler 735 signalisiert bzw. die Ungenauigkeit (Acry, 730) erhöht.
  • Durch die Auswertung der Genauigkeit des Sensorsignals (Acry) kann im Bereich der Grenzwerte eine deutlich genauere Fehlerreaktion ausgelöst werden, die z.B. mit schlechter werdender Genauigkeit verstärkt wird.
  • Als weiteres Beispiel wird für die Auswertung der Fahrzeugbeschleunigung im Rahmen des Sicherheitskonzeptes ein Beschleunigungssensor verwendet. Wie erwähnt kann ein bestimmter Wert eines Steuersignals als fehlerhaft bei einem ersten Betriebszustand und als nicht-fehlerhaft bei einem zweiten Betriebszustand erkannt werden. Die Fehlerreaktion kann entsprechend unter Berücksichtigung eines vorübergehenden Betriebsmodus festgelegt werden. Eine mögliche Fehlerreaktion besteht aus der Evaluierung mehrerer Genauigkeitssignale hinsichtlich ihrer Signalgenauigkeit und der Verwendung desjenigen Steuersignals mit der niedrigsten Signalgenauigkeit bzw. -ungenauigkeit (höchste Genauigkeit des Signales).
  • Für den Fall, dass am Beschleunigungssensor ein Fehler vorliegt, wird als Ersatzwert die Fahrzeugbeschleunigung aus dem Fahrzeuggeschwindigkeitssignal gebildet, welches wiederum aus den vier Raddrehzahlen generiert wird. Sollte auch bei diesem Signal ein Fehler vorliegen (bspw. Ausfall ein oder mehrerer Raddrehzahlsensoren), so ist es nicht mehr möglich eine ausreichend genaue Information über die Fahrzeugbeschleunigung zu ermitteln und eine entsprechende Fehlerreaktion (z.B. Fahrzeugstillstand) wird ausgelöst.
  • Mit der Verwendung von Signalgenauigkeiten für das Signal des Beschleunigungssensors und der Raddrehzahlsensoren könnte eine deutlich gezieltere Fehlererkennung und -reaktion durchgeführt werden.
  • So könnten abhängig von der vorhandenen Signalgenauigkeit verschiedene Fehlerreaktionen - z.B. von der Begrenzung der maximalen Fahrzeuggeschwindigkeit bis zum kompletten Stilllegen des Systems - ausgelöst werden.
  • Des Weiteren ist es durch die Übertragung der Signalgenauigkeit möglich, die Sensorzustände wesentlich detaillierter auszuwerten und zu verarbeiten. So können beispielsweise nicht nur Fehlerfälle eines Sensors, sondern auch Sensorbetriebszustände, die sich in unterschiedlichen Sensorgenauigkeiten auswirken, eindeutiger verarbeitet werden. Die Fehlerreaktion kann dabei auch unabhängig von den einzelnen Sensoren, ausschließlich auf Basis der Genauigkeit des vorliegenden Wertes, definiert werden.

Claims (15)

  1. Verfahren zur Überwachung eines Steuersignals (1a, 1b) für eine oder mehrere, das Steuersignal (1a, 1b) erhaltende, Signalverarbeitungs-Komponenten (III) eines Steuersystems unter Berücksichtigung einer Signalgenauigkeit, wobei von einer Signalerzeugungs-Komponente (I) sowohl das Steuersignal (1a, 1b) als auch ein Genauigkeitssignal (2a, 2b) empfangen werden, wobei das Genauigkeitssignal (2a, 2b) eine Signalgenauigkeit des Steuersignals (1a, 1b) repräsentiert, dadurch gekennzeichnet, dass das Genauigkeitssignal anhand einer Genauigkeitsanforderung überwacht wird und die Genauigkeitsanforderung für den Betrieb oder während des Betriebs des Steuersystems angepasst wird.
  2. Verfahren nach Anspruch 1, wobei die Genauigkeitsanforderung während des Betriebs wiederholt oder laufend angepasst wird.
  3. Verfahren nach Anspruch 1, wobei die Genauigkeitsanforderung anhand eines funktionalen Sicherheitsprofils festgelegt wird.
  4. Verfahren nach einem der vorherigen Ansprüche, wobei eine Abweichung zwischen der Signalgenauigkeit des Genauigkeitssignals und der Genauigkeitsanforderung zu einer Fehlerreaktion führt.
  5. Verfahren nach einem der vorherigen Ansprüche, wobei die Anpassung der Genauigkeitsanforderung anhand eines Betriebsmodus eines Fahrzeuges festgelegt wird.
  6. Verfahren nach Anspruch 5, wobei die Anpassung der Genauigkeitsanforderung anhand eines vorübergehenden Betriebsmodus festgelegt wird.
  7. Verfahren nach Anspruch 5 oder 6, wobei der Betriebsmodus ein Schaltvorgang oder ein Überholvorgang oder ein Bremsvorgang oder ein Beschleunigungsvorgang ist.
  8. Verfahren nach einem der vorherigen Ansprüche, wobei die Überwachung auf Grund von Änderungen in dem Genauigkeitssignal (2a, 2b) oder der Genauigkeitsanforderung durchgeführt wird.
  9. Verfahren nach einem der vorherigen Ansprüche, wobei die Genauigkeitsanforderung für begrenzte Zeiten eine erhöhte Anforderung darstellt.
  10. Verfahren nach einem der vorherigen Ansprüche, wobei eine erhöhte Genauigkeitsanforderung zu einer Anforderung einer erhöhten Genauigkeit an der Signalerzeugungs-Komponente (I) führt.
  11. Verfahren nach einem der vorherigen Ansprüche welches zur Steuerung eines Kraftfahrzeuges angewendet wird.
  12. Steuerprogramm zur Ausführung auf einem oder mehreren Steuersystemen, wobei das Steuerprogramm bei dessen Ausführung ein Verfahren gemäß einem der Ansprüche 1 bis 11 durchführt.
  13. Steuersystem, eingerichtet zum Empfang eines Steuersignals (1a, 1b) und eines Genauigkeitssignals (2a, 2b), wobei das Genauigkeitssignal (2a, 2b) eine Signalgenauigkeit des Steuersignals (1a, 1b) repräsentiert, dadurch gekennzeichnet, dass das Steuersystem eingerichtet ist, das Genauigkeitssignal anhand einer Genauigkeitsanforderung zu überwachen und die Genauigkeitsanforderung während des Betriebs des Steuersystems anzupassen.
  14. Steuersystem nach Anspruch 13, wobei das Steuersystem zur Anwendung in einem Kraftfahrzeug eingerichtet ist.
  15. Steuersystem nach Anspruch 13 oder 14, wobei das Steuersystem eingerichtet ist ein Steuerprogramm nach Anspruch 12 auszuführen.
DE102019203783.6A 2019-03-20 2019-03-20 Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten Active DE102019203783B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019203783.6A DE102019203783B4 (de) 2019-03-20 2019-03-20 Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019203783.6A DE102019203783B4 (de) 2019-03-20 2019-03-20 Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten

Publications (2)

Publication Number Publication Date
DE102019203783A1 true DE102019203783A1 (de) 2020-09-24
DE102019203783B4 DE102019203783B4 (de) 2022-08-11

Family

ID=72333805

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019203783.6A Active DE102019203783B4 (de) 2019-03-20 2019-03-20 Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten

Country Status (1)

Country Link
DE (1) DE102019203783B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020212287A1 (de) 2020-09-29 2022-03-31 Vitesco Technologies GmbH Verwendung von Signalintegritäten in Embedded Systemen

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011108292A1 (de) * 2011-07-21 2012-04-05 Daimler Ag Verfahren zum Betrieb einer Fahrerassistenzvorrichtung
DE102014014307A1 (de) * 2014-09-25 2016-03-31 Audi Ag Verfahren zum Betrieb einer Mehrzahl von Radarsensoren in einem Kraftfahrzeug und Kraftfahrzeug
DE102017107876A1 (de) * 2016-04-13 2017-10-19 GM Global Technology Operations LLC Erkennung und Rekonstruktion eines Rollgeschwindigkeitssensorfehlers

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011108292A1 (de) * 2011-07-21 2012-04-05 Daimler Ag Verfahren zum Betrieb einer Fahrerassistenzvorrichtung
DE102014014307A1 (de) * 2014-09-25 2016-03-31 Audi Ag Verfahren zum Betrieb einer Mehrzahl von Radarsensoren in einem Kraftfahrzeug und Kraftfahrzeug
DE102017107876A1 (de) * 2016-04-13 2017-10-19 GM Global Technology Operations LLC Erkennung und Rekonstruktion eines Rollgeschwindigkeitssensorfehlers

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020212287A1 (de) 2020-09-29 2022-03-31 Vitesco Technologies GmbH Verwendung von Signalintegritäten in Embedded Systemen

Also Published As

Publication number Publication date
DE102019203783B4 (de) 2022-08-11

Similar Documents

Publication Publication Date Title
EP3532356B1 (de) Verfahren zum überwachen eines kraftfahrzeugs mit automatisierter fahrfunktion und vorrichtung zum durchführen des verfahrens
DE10237167B4 (de) Verfahren zur Steuerung eines automatisierten Schaltgetriebes
EP2974156B1 (de) Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen
DE102015225617A1 (de) Verfahren zur Überwachung eines Drive-by-Wire-Systems eines Kraftfahrzeugs
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
WO2018059907A1 (de) Verfahren zum betreiben eines energiebordnetzes eines kraftfahrzeugs
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
EP2078253A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE102020212277A1 (de) Verfahren und Vorrichtung zum Bestimmen einer Restnutzungsdauer basierend auf einer prädiktiven Diagnose von Komponenten eines elektrischen Antriebssystems mithilfe Verfahren künstlicher Intelligenz
DE102019203783B4 (de) Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten
DE102008034150A1 (de) Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs
WO1988005570A1 (en) Process and device for monitoring computer-controlled final control elements
EP3519251A1 (de) Verfahren zum betreiben eines energiebordnetzes
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE102019203779A1 (de) Steuersystem, Verfahren, Komponente und Steuerprogramm zur Verwendung von Signalgenauigkeitsanforderungen im Rahmen von Sicherheitskonzepten
EP4114691B1 (de) Verfahren zum betreiben eines bordnetzes
DE102019203775B4 (de) Verfahren und Vorrichtung zur Verwendung der Fehlerfortpflanzung
DE102015221951A1 (de) Verfahren zur Überprüfung einer Überwachungsfunktion
DE102021207910A1 (de) Bremssystem
DE102020211541A1 (de) Verfahren zum Erkennen eines Stillstands eines Fahrzeugs
DE102019209136A1 (de) Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges
DE102006020793A1 (de) Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
DE102020212287A1 (de) Verwendung von Signalintegritäten in Embedded Systemen
DE102022213783B4 (de) Verfahren zur Plausibilisierung eines Parameters
DE19545645A1 (de) Sicherheitskonzept für Steuereinheiten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: B60W0050020000

Ipc: B60W0050040000

R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: VITESCO TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final